Bientôt un Cloud act européen dans le sillage américain pour rétablir l’égalité des armes dans les enquêtes internationales.
Le Clarifying Lawful Overseas Use of Data act, adopté en avril 2018, dont l’acronyme est Cloud act (1) a suscité un vif émoi en Europe. Désormais un prestataire hébergeant des données intéressant la justice américaine pour des infractions de droit commun est contraint de les fournir sur réquisition, même si les données se trouvent physiquement hors des Etats-Unis d’Amérique et sous le contrôle d’une société n’étant pas de droit américain.
Le Gouvernement français ne s’est pas encore prononcé sur l’impact du Cloud act en France (2). La Commission européenne, elle, a très rapidement réagi (3) et travaille à un projet de règlement et de directive qui institueraient un Cloud act européen (4).
Cloud act européen : le projet de règlement E-evidence
Comme pour le Cloud Act américain, c’est le constat de la lenteur et de la lourdeur des procédures de coopération judiciaire existantes qui justifie une révision profonde du droit.
Différents mécanismes d’injonction de communication et de conservation sont envisagés au sein de l’Union européenne.
Pour les prestataires hors Union européenne mais qui hébergeraient des données de citoyens européens, leur première obligation consisterait à nommer un représentant légal au sein de l’Union européenne (comme cela est déjà le cas dans le cadre de la directive NIS et du RGPD).
Ainsi, tous les prestataires seraient soumis aux mêmes obligations même si leur siège social est hors de l’Union et que leurs datacenters se trouvent «off-shore». Les décision et injonctions au cœur du projet de cloud act européen leur seraient directement opposables.
En cas de violation de ces injonctions ou non-déclaration d’un représentant, c’est leur activité sur le marché européen qui pourrait se voir compromise. A l’inverse, le prestataire européen avec représentant disposerait de garanties quant à son activité européenne et de voies de recours contre les injonctions.
Ce texte ambitieux ne pourra être utilement discuté qu’après les prochaines échéances électorales européennes de mai 2019.
Cloud act européen et US cloud act : un conflit de loi certain
Il apparaît cependant que le cloud act européen, s’il était adopté, porte intrinsèquement le risque d’un conflit de loi. Si un prestataire se voyait recevoir concomitamment ou successivement des injonctions contraires d’un juge américain et d’un juge d’un Etat européen (l’un demandant la suppression de données, l’autre sa conservation), plus aucun mécanisme de coopération judiciaire ne permettrait de surmonter ce type de difficultés.
Le prestataire concerné serait alors confronté à faire un choix cornélien :
- user de recours coûteux pour faire valoir sa bonne foi et ne pas compromettre sa position vis-à-vis de chacun des deux juges mais dans la mesure où les prestataires les plus compétitifs sur le cloud sont américains, l’avantage est clairement pour ce juge ;
- ou tout simplement quitter le marché européen. Suite à l’application du RGPD le 25 mai 2018, certains acteurs américains ont déjà fait ce choix avec leurs clients européens.
Le Cloud act européen fait sens à l’heure où coopération internationale et multilatéralisme font de plus de plus défaut. Il faut souhaiter que la liberté du commerce international ne sera pas mise à mal, alors que les champions du cloud public à bas coût restent américains et que le cloud souverain européen est toujours en construction.
Eric Le Quellenec
Lexing Informatique conseil
(1) Les dispositions du Cloud Act (modifiant le Stored Communications Act (SCA) de 1986, codifié au chapitre 121, 1e Partie, Titre 18 de l’US Code) ont été adoptées avec le Consolidated Appropriations Act (Division V : Cloud Act), le 23 mars 2018.
(2) Question parlementaire n°9260, JO AN (Q) du 12 juin 2018, p. 4936.
(3) Le Cloud Act, booster du cloud Computing souverain, Post du 21 mai 2018.
(4) Union de la sécurité : la Commission facilite l’accès aux preuves électroniques, communiqué de presse, 17 avril 2018.